高速公路通信网络全流量安全及威胁监测平台研究

王珂

新一代信息技术的发展为通信带来极大便利的同时，也对其载体的网络安全提出更高要求。高速公路作为交通重要载体，网络安全至关重要，新形势下网络攻击形式与手段层出不穷，本文通过对网络全流量安全监测的研究，以求找到更有效的防范手段。

新一代信息技术的快速发展及各项互联网技术应用的快速普及，给用户带来极为便利的沟通交流模式，并逐渐成为人们工作、生活中不可缺少的一部分。然而在享受这些便利的同时，也面临着日益严重的信息安全问题。2021年全球仍有大量的网络威胁存在，如：Incaseformat病毒事件、高级威胁组织Lazarus以Threat Needle恶意软件攻击国防企业、2021 第一季度国内外重大数据泄漏事件、蔓灵花（Bitter）组织针对我国发起的网络攻击等，已引起有关部门的高度重视。

网络攻击者对我国的网络攻击技术层出不穷，隐蔽性和破坏性越来越大，超越了以往对网络恶性事件的监测和分析方法，如何能在攻击者背后感知系统状态成为网络安全的真正需求，对于攻击者更有针对性采取防范更为有效。

近几年网络攻击者不再出于个人好奇或是单纯的自我炫耀，而已经发展为有着明确的政治、经济利益目的的组织，攻击手段日新月异，攻击也趋向工具化、战术化、隐蔽化、流程化，从侦查刺探、渗透侵入、组织攻陷、逐步控制、到最终的威胁破坏一整套流程，潜伏期长，传统手段不易察觉，危害极大。

（一）国外网络安全现状

随着全球大量人力资源从家庭、企业过渡到远程在线模式，远程办公已成为高达20%的网络安全事件的来源，同时勒索软件攻击事件也在逐年上升。自2020 年以来，网络渗透、数据泄露、数据盗窃和销售、勒索软件和身份盗窃，网络安全事件、地下和黑产市场活动越来越活跃。

2020年6月，欧洲的某个大型银行遭遇了大规模DDoS攻击，该银行网络系统遭到每秒8.09亿巨量数据包攻击。这次攻击活动可能是由源自地下黑市的新型僵尸网络实施的，这是从首次攻击牵涉的大量 IP 地址数量得出的结论。

2020年7月，阿根廷电信公司遭到勒索软件攻击，本次攻击对阿根廷电信公司运营造成了严重影响。攻击者通过私密手段获得了对公司网络的访问权限，然后控制了公司内部的Domain Admin系统，并使用这一访问权限感染了约1.8万台计算机。最终阿根廷电信运营的许多网站因为此次勒索攻击事件受到影响。

2020年8月，著名数码摄像机厂商佳能（Canon）被曝遭受勒索攻击，包括电子邮件、微软团队、美国网站以及其他内部应用程序。Maze勒索软件团伙宣布已经从佳能窃取了超过10TB的数据。

2020年8月31日上午，新西兰证券交易所网站在市场交易开盘不久再次崩溃。这已是自当年8月25日以来，新西兰证券交易所连续第5天“宕机”。

（二）国内网络安全现状

根据CNCERT發布的我国互联网网络安全监测数据分析报告，仅2021年上半年，就捕获恶意程序样本数量约2307万个，日均传播次数达582万余次，涉及恶意程序家族约20.8万个。在我国境内大约有446万台主机遭到计算机恶意程序的感染，感染数量同比增长46.8%。

CNCERT监测发现，利用IP数据库等手段，对于攻击区域、目标进行溯源，通过统计分析发现受攻击区域主要位于浙江省、山东省、江苏省、广东省、北京市、福建省、上海市等地区，这7个地区的事件占比达到81.7%。

约13083个通用型安全漏洞被国家信息安全漏洞共享平台（CNVD）收录，收录数同比增长18.2%。其中，高危漏洞收录数量为3，719个（占28.4%），同比减少13.1%；“零日”漏洞收录数量为7，107个（占54.3%），同比大幅增长55.1%。

2021年国务院发布《关键信息基础设施安全保护条例》，严密部署关键信息基础设施的安全保护，由此可见网络安全防护的重要性。

随着交通行业信息化、智慧化进程提速，高速公路信息数据传输也进入全国联网阶段，高速公路沿线智慧化设备越来越多，对高速公路网络安全也提出了新的要求，如果不能有效地监测和防御网络攻击，有可能造成重大事故。

针对高速公路业务特点，安全管理中心、计算安全环境、物理安全环境、网络通信安全、安全区域边界是作为安全技术体系建设的五个基本技术要求，同时在管理体系建设方面也要同时满足安全管理制度、安全运维管理、安全管理机构、安全管理人员的基本要求。

高速公路三大机电系统都需通过网络环境进行数据交换，数据网络需要具有统一的安保策略，能够抵御较大规模、较强的恶意程序攻击，同时还要能够防止计算机病毒和恶意代码的侵害。

利用对数据网络流量的旁路监测与分析，智能发现被恶意控制或非法使用的网络设备及恶意网络行为。系统分为数据采集模块、协议还原及数据标准化模块、海量数据剥离算法、基于Stacking算法的入侵检测模块及异常网络行为监测分析等功能。作为高性能的网络数据捕获平台，需要对网络链路进行7X24小时的数据监测分析，系统使用零拷贝技术，并对网卡驱动程序进行深度优化，对千兆网络环境全流量的采集丢包率<0.01%，同时对常见网络协议（HTTP、FTP、SSL、POP、IPMAP、SMTP、TELNET、DNS等）解析还原，并提取报文级、会话级、应用级的日志信息，支持多种元数据索引，便于对各类日志进行数据挖掘分析；基于行为模型、流量特征、关键字特征等对网络行为进行多层级多维度的检测，利用专家级数据模型通过机器自学习的方法对网络数据进行挖掘分析，智能发现疑似木马通信产生的流量。

再就是综合评估区域边界安全，在可控范围和区域内控制风险，从而将安全风险降低，避免扩散，包括接入外部网络授权、无线网络传输移动终端接入安全风险。

准确识别UDP、ICMP、TCP等多种方式异常数据包，使用多种规则对网络数据包进行监测，快速发现异常网络报文，对特定通信流量解密，内置特定解密算法，利用计算机的超强计算能力，自动还原解密。

从技术角度、物理环境和安全管理部分展开分析，结合等级保护安全技术要求与安全管理要求，在响应国家关于等级保护要求的基础上，维护信息安全，保障和促进信息化建设的健康发展，优化网络设计改造网络安全域，针对单点故障采取冗余设计确保系统可用性，加强网络边界完整性检查，加强数据保密性。

数据网络具备统一的安保策略，能够抵御较大规模、较强的恶意程序攻击，同时还要能够防止计算机病毒和恶意代码的侵害；具备快速检测、快速发现、快速报警及记录入侵行为的能力；具备快速响应安全事件给出应急预案，同时能够追踪安全责任的能力；针对服务保障性更高的网络系统，能够快速回复其运行状态；能够集中管控用户、网络资源、安全机制并有效融合。

具备发现恶意扫描端口、挖矿木马、勒索木马、僵尸木马、恶意软件、系统漏洞等多种网络攻击及恶意行为的功能，发现疑似CobaltStrike团队服务器等功能。通过上机验证，快速定位网络攻击木马，采取相应网络安全措施；同时建立的漏洞库、病毒库、威胁信息库等网络安全基础资源库；加强安全应急响应保障，制定安全应急预案，确保网络对于重大网络安全事件可及时发现、迅速定位并组织网络防范等措施，最终实现网络设备、安全组件的集中管控。

作者单位：山东双利电子工程有限公司